Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Auditoria de banco_de_dados_sql_server_em_conformidade_com_a_sox

1,934 views

Published on

Apresentação utilizada por André Pretto sobre Auditoria de Banco de Dados SQL Server em Conformidade com a SoX.

Published in: Technology
  • DOWNLOAD THI5 BOOKS INTO AVAILABLE FORMAT (Unlimited) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { http://bit.ly/2m6jJ5M } ......................................................................................................................... Download Full EPUB Ebook here { http://bit.ly/2m6jJ5M } ......................................................................................................................... ACCESS WEBSITE for All Ebooks ......................................................................................................................... Download Full PDF EBOOK here { http://bit.ly/2m6jJ5M } ......................................................................................................................... Download EPUB Ebook here { http://bit.ly/2m6jJ5M } ......................................................................................................................... Download doc Ebook here { http://bit.ly/2m6jJ5M } ......................................................................................................................... ......................................................................................................................... ......................................................................................................................... .............. Browse by Genre Available eBooks ......................................................................................................................... Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult,
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

Auditoria de banco_de_dados_sql_server_em_conformidade_com_a_sox

  1. 1. SQLServerRSwww.sqlserverrs.com.br
  2. 2. Por: André Pretto
  3. 3.  A lei Sarbanes-Oxley SOX e segurança Auditoria Privacidade e proteção a dados
  4. 4.  Banco de dados SQL Server ◦ Endurecendo o ambiente do banco de dados. ◦ Segurança de banco de dados dentro de um cenário de segurança. ◦ O banco de dados e a rede ◦ Segurança nas comunicações entre bancos de dados ◦ Criptografia ◦ Categorias de auditoria ◦ Práticas de segurança para o ambiente de banco de dados
  5. 5.  Banco de dados SQL Server ◦ Análise de segurança e monitoramento – possíveis soluções. Procedimentos e documentação Checklist do Administrador Checklist do Desenvolvedor
  6. 6. Em 2002 surgiu a lei SOX com o objetivo deresponder a uma série de grandes escândaloscorporativos e contábeis e estabelecerpadrões de segurança novos e aprimorados, aSOX é uma lei federal dos Estados Unidos. Ela objetiva o fechamento de brechas desegurança, principalmente em dadosfinanceiros e contábeis e as camadas de bancode dados e aplicação.
  7. 7.  Sarbanes–Oxley Section 302: Disclosure controls Sarbanes-Oxley Section 401: Disclosures in periodic reports Sarbanes–Oxley Section 404: Assessment of internal control Sarbanes–Oxley 404 and smaller public companies Sarbanes–Oxley Section 802: Criminal penalties for violation of SOX Sarbanes–Oxley Section 1107: Criminal penalties for retaliation against whistleblowers
  8. 8.  Sarbanes–Oxley Section 302: Disclosure controls Sarbanes-Oxley Section 401: Disclosures in periodic reports Sarbanes–Oxley Section 404: Assessment of internal control Sarbanes–Oxley 404 and smaller public companies Sarbanes–Oxley Section 802: Criminal penalties for violation of SOX Sarbanes–Oxley Section 1107: Criminal penalties for retaliation against whistleblowers
  9. 9. A seção 404 define os requisitos para manter oscontroles de segurança adequados em relação aossistemas de tecnologia da informação, porémforja uma tarefa desafiadora e talvez um poucointimidante.Aspectos:  Autorização  Autenticação  Acesso
  10. 10. Define que a área de TI tem como obrigação odesenho da arquitetura e documentação de todosos processos usados na TI, os quais sãoconstituídos pelas disciplinas:  Dados (Data)  Sistema (System)  Tecnologia (Technology)  Rede (Network)
  11. 11. A seção 404 discorre sobre a compreensão dosconceitos básicos de privacidade e proteção dedados, definir e fazer cumprir arquitetura, combinarforças externas, influências internas, e ativos deTI, simplificar a matriz de segurança,desenvolvimento de estratégias baseadas nocontrole de acesso, integração dos elementoscríticos de proteção de privacidade em engenhariade sistemas e aplicações.
  12. 12.  SOX também permite que uma auditoria externa e análise de segurança de seja feita para avaliar qualquer manipulação de dados. Tem sido provado que a maioria dos problemas de segurança vêm de dentro da organização
  13. 13. Baseada nas melhores práticas de segurança a SOX impõe três regras, em relação a proteção a dados: Confidencialidade - proteção de informações sensíveis contra divulgação não autorizado ou interceptação inteligível. Integridade - salvaguarda da exatidão e integridade das informações e software. Disponibilidade - Assegurar que as soluções de informação estão disponíveis quando necessários.
  14. 14. Auditoria é a primeira atividade a ser realizada antes de qualquer outra iniciativa para aumentar a segurança de um banco de dados. (Ron Bem Natan, 2009 ).Auditoria em banco de dados divide-se em: Auditoria padrão Auditoria obrigatória e de administrador Auditoria minuciosa (Fine Grained Auditing ou FGA) Auditoria de valor
  15. 15. É umas das mais completas auditorias dentrodo banco de dados, ela permite a auditoria deatividades baseadas no tipo de atividade,objeto, privilégio, ou usuário.auditoria padrão é umas das mais completasauditorias dentro do banco de dados, elapermite a auditoria de atividades baseadas notipo de atividade, objeto, privilegio, ouusuário.
  16. 16. É de extrema importância e consiste emimplementar iniciativas de auditoria dousuário privilegiado do banco de dadosSA/DBA abrangendo até a inicialização edesligamento do SGBD
  17. 17. Permite que você especifique o que vocêquer auditar baseado em comandos DDL(SELECT, UPDATE, DELETE) e DML.
  18. 18. É um auditoria granular que objetiva terrespostas para: Quem, O que, Quando, Onde Com base em um conjunto de critérios,os critérios podem ser um comando, umobjeto, um privilégio, uma combinação estes,ou mesma uma condição arbitrária altamentegranular.
  19. 19. A auditoria deve cumprir e avaliar todos osrequisitos regulatórios os quais a companhiaesta respondendo como o caso da SOX.Uma auditoria interna através de umdepartamento de auditoria não é suficiente, énecessário um conjunto de auditores internose externos sendo esses independentes.
  20. 20. A auditoria externa geralmente éprestada por empresas de auditoriareconhecidas e homologadas a auditar asnormas regulatórias.PricewaterhouseCoopers (PwC),Deloitte,KPMGErnest & Young (E & Y)
  21. 21. Os modernos sistemas de TI e controle desegurança são baseados elementos essenciaisos quais compõem uma matriz de segurança.
  22. 22. Sob um aspecto legal a legislação deproteção à privacidade de dados vem sealterando rapidamente nos Estados Unidos,Europa e Canadá, como por exemplo, aCalifórnia é considerada como a líder emlegislação destinada a proteção deprivacidade pessoal e roubo de identidade.
  23. 23. Proteger a confidencialidade dasinformações de uma organização de formaprivada e protegida é o mesmo que dizer quea organização mantém em segredo e comacesso controlado e monitorado o acesso àsinformações em qualquer forma dearmazenamento.
  24. 24. Esse aspecto será um aspecto constante dedesafios para a área de TI na construção desistemas e armazenamento de dados em Bancosde Dados, visando sempre atender as alteraçõesdas leis.Privacidade podem ser classificados como:◦ De domínio publico,◦ Protegido◦ Restrito.
  25. 25.  O SQL Server de encontro aos requisitos da SOX.
  26. 26.  Segurança física do servidor no qual reside o SQL Server. Aplicar todos os service packs e hot fixes para o sistema operacional do Windows Server e SQL Server. Certifique-se de todos os dados do SQL Server e arquivos do sistema são instalados em uma partição NTFS e que as permissões adequadas estão definidas para os arquivos.
  27. 27.  Usar baixo nível de privilégio para contas de usuário para o serviço do SQL Server. ◦ Não use LocalSystem ou Administrador. Apagar arquivos de instalação. ◦ Arquivos de instalação podem conter texto simples e sem criptografia, onde residem informações de configuração Proteger a conta SA com uma senha forte. Remova todos os usuários de exemplo e bancos de dados de aprendizado.
  28. 28.  Verificar se existem usuários com senhas nulas. Remova o usuário convidado de todos os bancos, exceto de master e tempdb. Analisar como os papéis são atribuídos a usuários em um nível de banco de dados e servidor. Crie um processo que lhe permita revisar periodicamente papel e membros do grupo criados no SQL Server.
  29. 29.  Use a autenticação do Windows em vez da autenticação mista. Remova as bibliotecas de rede que não são utilizados. Não permitir ou promover o acesso remoto ao sistema operacional e execução ferramentas locais. Remover ou restringir o acesso xp_stored procedures.
  30. 30.  Não instale extended procedures criadas pelo usuário, pois podem abrir brechas de segurança servidor. Verificar e limitar as stored procedures que são PUBLIC Desabilitar o SQL mail buscando alternativas para fazer métodos de notificação. Não install full-text search a menos que alguma aplicação em especifico necessite.
  31. 31.  Desabilitar o Microsoft Distributed Transaction Coordinator a menos que seja realmente necessário para alguma aplicação. Monitorar de perto todas as tentativas de login que falharam. Desenvolvedores não podem ter acesso a instancias de produção. Habilitar auditoria.
  32. 32.  Firewalls Virtual private networks (VPNs) A avaliação das vulnerabilidade e gerenciamento de patches. Antivirus Intrusion detection systems (IDS) Intrusion prevention systems (IPS)
  33. 33.  Proteger os usuário e senhas usados na interligação de banco de dados. Garantir mecanismos de replicação de dados. Segurança e monitoramento dos usuários e das conexões de replicação. Mapear e assegurar-se de conhecer todas as fontes de dados e repositórios. Garantir segurança e Monitorar os sistemas log shipping schemes.
  34. 34.  Proteger e monitorar bancos de dados móveis Monitorar e limitar as comunicações de saída (outbound).
  35. 35.  Criptografar os dados que trafegam (Encrypting data-in-transit ). Criptografar os dados que não trafegam e exigem alta segurança.
  36. 36.  Auditar o logon/logoff no banco de dados Auditar os consumidores do banco de dados (Sistemas, ferramentas, Excel, ODBC entre outros) Auditar a utilização do banco de dados fora do horário normal de expediente corporativo. Auditar as atividades DDL e DML Auditar os erros que o banco de dados apresentar.
  37. 37.  Auditar as alterações de stored procedures, triggers, alterações de privilégios de usuário/login e outros atributos de segurança. Auditar a criação, alteração e uso dos database links e replicação. Auditar a alteração de dados sensíveis (Ex. Salário)
  38. 38.  Auditar as alterações feitas nas definições do que é auditado.
  39. 39. A SOX para conformidade com os procedimentos de segurança e documentação para o SQL Server deve incluir o seguinte: Descrição do modelo de segurança (Active Directory, grupos de domínio, os papéisdo SQL Server, banco de dados de papéis, etc.)
  40. 40.  Um procedimento para criar uma nova conta, quando chega um novo funcionário. Um procedimento para eliminar / desativar uma conta quando um funcionário deixa a empresa. Um procedimento para pedir permissões - com uma data final desejada, se possível - especialmente para permissões especiais.
  41. 41.  Um procedimento para alterações de senha (para logins do SQL Server). Regras e regulamentos a seguir para um novo software ou uma nova aplicação usando um banco de dados SQL Server. Você também deve aplicá-las às aplicações existentes, tanto quanto possível.
  42. 42.  Descrição de como as aplicações devem criptografar arquivos de senha ao usar SQLServer ou modo de autenticação quando as senhas são codificadas. Descrição dos controles de segurança periódicas (automático / manual).
  43. 43.  Documentação para cada procedimento manual e automatizado e as mudanças de segurança. Documentar a existência de verificações e inspeções futuras.
  44. 44.  Firewalls ◦ Colocar um firewall entre o servidor e a Internet. ◦ Sempre bloquear a porta TCP 1433 e UDP 1434 no seu firewall de perímetro. Se as instâncias nomeadas estão escutando portas adicionais, bloquear os demais. ◦ Em um ambiente multi-camadas, use múltiplos firewalls para criar sub-redes selecionados.
  45. 45.  Isolamento de serviços ◦ Isolar serviços para reduzir o risco de que um serviço comprometido poderiam ser usadas para comprometer os outros. ◦ Nunca instale o SQL Server em um controlador de domínio. ◦ Executar serviços de servidor SQL separado em contas separadas Windows. ◦ Executar servidor de aplicação e banco de dados em servidores separados.
  46. 46. Use as ferramentas da Microsoft ou ferramentas de terceiros eRealizar uma análise manual e monitoramento.  Contas de serviço ◦ Criar contas do Windows com os privilégios mais baixo possível para a execução de serviços do SQL Server.  Sistema de arquivos ◦ Usar NTFS. ◦ Usar RAID para arquivos de dados críticos.
  47. 47.  Use as ferramentas do SQL Server e Microsoft. ◦ SQL Server Profiler. ◦ SQL Server Audit feature ◦ Activity Monitor ◦ Central Management Servers ◦ Data Collector and Management Data Warehouse ◦ SQL Server Policy-Based Management ◦ Resource Governor ◦ Transparent Data Encryption (TDE) ◦ Powershell ◦ Reporting Server
  48. 48.  Ferramentas de terceiros. ◦ Krell Software - http://www.krell- software.com/omniaudit/ ◦ Imperva - http://www.imperva.com/index.html ◦ ApexSQL - http://www.apexsql.com/sql_tools_audit.aspx
  49. 49. Use as ferramentas da Microsoft ou ferramentas de terceiros eRealizar uma análise manual e monitoramento. http://www.microsoft.com/sqlserver/2008/en/us/compliance.aspx
  50. 50. SQLServerRSwww.sqlserverrs.com.br

×